Piraci oprogramowania Windows tracą swoje Bitcoiny

Piraci oprogramowania, szukający darmowej kopii systemu Microsoft Windows, wpadają w sidła zainfekowanych złośliwym oprogramowaniem "narzędzi aktywacyjnych", które opróżniają ich portfele z kryptowalut. Według firmy badawczej Red Canary, infekcje systemów dobrze znanym złośliwym oprogramowaniem Cryptbot zostały prześledzone wstecz do fałszywego instalatora KMSPico - narzędzia używanego przez piratów oprogramowania do aktywacji pełnych funkcji produktów Microsoft Windows i Office bez posiadania klucza licencyjnego. Ponieważ narzędzia zabezpieczające zazwyczaj blokują KMSPico jako potencjalnie niechciany program (PUP), oprogramowanie jest dostarczane wraz z instrukcjami dotyczącymi wyłączania oprogramowania antywirusowego i anty-malware - pozwalając Cryptbotowi buszować po systemie.

New malware analysis from @ForensicITGuy: #RCIntel recently analyzed a sample of Cryptbot and traced it back to a fake KMSPico installer. Here's what to look out for. //t.co/Msj1M4cKOP

— Red Canary (@redcanary) December 2, 2021

Po wprowadzeniu do systemu, Cryptbot przeszukuje go w poszukiwaniu danych uwierzytelniających i innych poufnych informacji, w tym portfeli kryptowalut. Lista portfeli zagrożonych przez malware jest obszerna i obejmuje takie produkty jak Electrum, Monero, Exodus i Ledger Live. Narażone też są przeglądarki internetowe (w tym Google Chrome, Mozilla Firefox, Brave i Opera). Ponieważ instalator KMSPico wykorzystuje Windows Key Management Services (KMS) - legalną technologię używaną do masowego licencjonowania w sieciach przedsiębiorstw - niektóre działy IT, które rzeczywiście posiadały legalne licencje, również padły ofiarą Cryptbota.